GFF erreicht mit Verfassungsbeschwerde gegen Staatstrojaner Grundsatzentscheidung des Bundesverfassungsgerichts für mehr IT-Sicherheit
Karlsruhe, 21. Juli 2021 – Nach einer Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte e.V. (GFF) hat das Bundesverfassungsgericht heute neue Standards für die IT-Sicherheit in Deutschland gesetzt. In seiner Entscheidung bestätigte das Gericht die Auffassung der GFF, dass staatliche Stellen Grundrechte verletzen, wenn sie Sicherheitslücken in IT-Systemen geheim halten, ohne ihre Risiken zu bewerten. „Die Entscheidung ist ein großer Erfolg für die IT-Sicherheit“, sagt Ulf Buermeyer, Vorsitzender der GFF. „Die Politik muss Vorkehrungen treffen, damit Cyberkriminelle und ausländische Geheimdienste nicht von den Sicherheitslücken profitieren, die deutsche Behörden bewusst nicht schließen lassen. Die aktuellen Enthüllungen rund um die Pegasus-Software des israelischen Herstellers NSO unterstreichen noch einmal, wie wichtig das ist, um Journalist*innen und Menschenrechtsaktivist*innen weltweit zu schützen.“
Die Verfassungsbeschwerde der GFF richtete sich gegen die Novelle des Polizeigesetzes Baden-Württemberg vom November 2017. Diese erlaubt den umfangreichen Einsatz von Staatstrojanern zur Überwachung von Zielpersonen. Um die Spähsoftware in die Geräte der Zielpersonen einzuschleusen, ist die Polizei meist darauf angewiesen, Sicherheitslücken in IT-Systemen auszunutzen, die den Herstellern noch unbekannt sind. Dadurch schafft das Gesetz massive Anreize für die Polizei, Sicherheitslücken geheim zu halten, statt sie den Herstellern zu melden. Damit nimmt der Gesetzgeber in Kauf, dass Dritte die geheimgehaltenen Lücken für Cyber-Angriffe ausnutzen und beispielsweise Krankenhäuser hacken oder sich Zugang zu vertraulichen Daten von Millionen Bürger*innen verschaffen. „Die meisten Menschen in Deutschland haben sehr persönliche Daten auf ihren Smartphones oder anderen IT-Systemen gespeichert, die nicht in die falschen Hände geraten dürfen – seien es Nachrichten und Fotos in Chats oder sensible Informationen, die bei ihren Anwält*innen hinterlegt sind“, sagt Stefan Leibfarth vom Chaos Computer Club Stuttgart, der mit der GFF gegen das Polizeigesetz klagte. „Nur wenn Sicherheitslücken umgehend gemeldet werden, können die Hersteller sie beheben und uns alle vor Cyberangriffen schützen.“
Das Bundesverfassungsgericht wies die Verfassungsbeschwerde zwar letztlich ab, in der Begründung gab es der GFF, den Kläger*innen und dem Prozessbevollmächtigter Prof. Dr. Tobias Singelnstein jedoch in weiten Teilen Recht. Dort heißt es ausdrücklich:
„Es ist sicherzustellen, dass die Behörde bei jeder Entscheidung über ein Offenhalten einer unerkannten Sicherheitslücke einerseits die Gefahr einer weiteren Verbreitung der Kenntnis von dieser Sicherheitslücke ermittelt und andererseits den Nutzen möglicher behördlicher Infiltrationen mittels dieser Lücke quantitativ und qualitativ bestimmt, beides zueinander ins Verhältnis setzt und die Sicherheitslücke an den Hersteller meldet, wenn nicht das Interesse an der Offenhaltung der Lücke überwiegt.“
Die geltende Rechtslage entspricht diesen Anforderungen nicht. Der Gesetzgeber in Baden-Württemberg muss daher nun ein Verfahren einrichten, das gewährleistet, dass die Hersteller über gefährliche Schwachstellen informiert werden. „Das Bundesverfassungsgericht hat erstmals festgestellt, dass der Staat die IT-Sicherheit der Bürger*innen aktiv schützen muss“, sagt Tobias Singelnstein. „Bei der Abwägung müssen die Behörden die enormen gesellschaftlichen Schäden im Blick haben, die Cyberangriffe anrichten können.“ Mit der Entscheidung setzt das Bundesverfassungsgericht Standards für den Umgang mit Sicherheitslücken, die für alle Behörden gelten, darunter auch das Bundeskriminalamt oder das Bundesamt für Verfassungsschutz.
Die GFF hat gegen sieben weitere Gesetze, die den Einsatz von Staatstrojanern erlauben, Verfassungsbeschwerde eingelegt und plant weitere Klagen, unter anderem gegen den Einsatz von Staatstrojanern durch die Verfassungsschutzämter und den Bundesnachrichtendienst. „Die heutige Entscheidung ist ein Meilenstein für die IT-Sicherheit. Sie macht nochmals deutlich, warum wir Staatstrojaner grundsätzlich ablehnen“, sagt Ulf Buermeyer. „Angesichts der Kollateralschäden für die IT-Sicherheit darf der Staat nicht selbst Hacker spielen, sondern muss konsequent für möglichst sichere IT-Systeme eintreten. Wir werden weiter gegen staatliche Spähsoftware klagen, solange durch ihren Einsatz Grundrechte verletzt werden.“
Zu den Beschwerdeführern gehörten der Chaos Computer Club Stuttgart, die Rechtsanwälte Dr. Udo Kauß und Michael Moos, die Journalisten Peter Welchering und Hinnerk Feldwisch-Drentrup, der Freiburger Online-Versandhandel zündstoff sowie die ISP Service eG, eine Einkaufsgesellschaft für Internet-Service-Provider. Sie sahen sich aus unterschiedlichen Gründen einer hohen Gefahr von Cyberangriffen ausgesetzt – und befürchteten bei einem Zugriff Konsequenzen auch für Dritte. Denn sie verantworten Daten für ihre Mandant*innen, Informant*innen oder Kund*innen.
Hintergrundinformationen zur Verfassungsbeschwerde finden Sie unter:
https://freiheitsrechte.org/polizeigesetz-bawu
Die vollständige Beschwerde finden Sie unter:
https://freiheitsrechte.org/home/wp-content/uploads/2018/12/2018-12-07_VB_PolG-BaWue_final_anonym.pdf
Informationen zum Vorgehen der GFF gegen den Einsatz von Staatstrojanern finden Sie unter:
https://freiheitsrechte.org/staatstrojaner-faelle
Für weitere Informationen wenden Sie sich an:
Daniela Turß, presse@freiheitsrechte.org,
Tel. 030/549 08 10 55 oder 0175/610 2896